Prowadzona przez Google Grupa Analizy Zagrożeń (TAG) monitoruje działania związane z bezpieczeństwem cybernetycznym w Europie Wschodniej w związku z wojną na Ukrainie. Od czasu ostatniej aktualizacji, TAG zaobserwowała stale rosnącą liczbę podmiotów wykorzystujących wojnę jako przynętę w kampaniach phishingowych i malware.
Podobnie jak w innych raportach, analitycy zaobserwowali również, że hakerzy coraz częściej celują w infrastrukturę krytyczną, w tym instalacje z ropą i gazem, telekomunikację i produkcję przemysłową.
Największe zagrożenia
Według TAG wspierani przez rządy hakerzy z Chin, Iranu, Korei Północnej i Rosji, a także inne grupy, wykorzystywali różne tematy związane z wojną na Ukrainie w celu nakłonienia celów do otwierania złośliwych wiadomości e-mail lub klikania złośliwych odsyłaczy. Podmioty motywowane finansowo i przestępczo wykorzystują również aktualne wydarzenia do atakowania użytkowników.
Analitycy Google przedstawili w raporcie dokładniejsze informacje na temat zaobserwowanych kampanii oraz działań podjętych przez zespół w celu ochrony naszych użytkowników w ciągu ostatnich kilku tygodni.
APT28 lub Fancy Bear
To podmiot stanowiący zagrożenie przypisywane rosyjskiemu GRU, został zaobserwowany jako atakujący użytkowników na Ukrainie za pomocą nowego wariantu złośliwego oprogramowania. Kampania rozprzestrzeniana za pośrednictwem załączników do wiadomości e-mail w chronionych hasłem archiwach zip (ua_report.zip), to plik wykonywalny .Net, który po uruchomieniu wykrada ciasteczka i zapisane hasła z przeglądarek Chrome, Edge i Firefox. Dane te są następnie przenoszone za pośrednictwem poczty elektronicznej na spreparowane konto e-mail.
Turla
Grupa, którą TAG przypisuje rosyjskiej FSB. Prowadzi ona kampanie przeciwko krajom bałtyckim, których celem są organizacje obrony i bezpieczeństwa cybernetycznego w tym regionie. Podobnie do ostatnio zaobserwowanych działań, kampanie te były wysyłane pocztą elektroniczną i zawierały unikalny link dla każdego celu, który prowadził do pliku DOCX umieszczonego w infrastrukturze kontrolowanej przez atakujących. Po otwarciu pliku następowała próba pobrania unikalnego pliku PNG z tej samej domeny używanej przez cyberprzestępców.
COLDRIVER
Rosyjska grupa hakerów, określana czasami jako Callisto, która wykorzystuje konta Gmail do wysyłania wiadomości typu credential phishing. Celem ataków są urzędnicy rządowi i wojskowi, politycy, organizacje pozarządowe i ośrodki analityczne oraz dziennikarze. Według analityków procedury i taktyka grupy w tych kampaniach uległy nieznacznej zmianie - od umieszczania odsyłaczy phishingowych bezpośrednio w wiadomości e-mail, do implementowania odsyłaczy do plików PDF i/lub DOC przechowywanych na dyskach Google Drive i Microsoft One Drive. W tych plikach znajduje się odsyłacz do domeny phishingowej kontrolowanej przez atakującego.
Ghostwriter
Białoruska grupa, która pozostawała aktywna od początku najazdu na Ukrainę i ostatnio wznowiła ataki na konta Gmail poprzez wyłudzanie danych uwierzytelniających. Kampania ta zawierała odsyłacze do zagrożonych adresów internetowych, na których znajdowała się strona pierwszego etapu phishingu. Jeśli użytkownik kliknął przycisk Kontynuuj, był przekierowywany na witrynę kontrolowaną przez atakującego, który zbierał dane uwierzytelniające użytkownika.
Curious Gorge
Grupa hakerów, którą TAG przypisuje chińskiej PLA SSF, pozostaje aktywna przeciwko organizacjom rządowym, wojskowym, logistycznym i produkcyjnym na Ukrainie, w Rosji i Azji Środkowej. W Rosji kontynuowane są długotrwałe kampanie przeciwko wielu organizacjom rządowym, w tym Ministerstwu Spraw Zagranicznych. W ciągu ostatniego tygodnia TAG zidentyfikował dodatkowe zagrożenia, które miały wpływ na wielu rosyjskich kontrahentów i producentów z branży obronnej oraz rosyjską firmę logistyczną.
